Nutzung von Security Chaos Engineering für Cloud-Cyber-Resilienz — Teil II
Das erster Teil dieser Blogserie erörterte den Unterschied zwischen Cyber-Resilienz und Cybersicherheit und entkoppelte das Konzept der Cyber-Resilienz aus der Perspektive der Menschen, Prozesse und technologischen Rahmenbedingungen. Dieser abschließende Teil befasst sich eingehender mit der Cyber-Resilienz in der Cloud, indem der aktuelle Stand der Technik untersucht wird, das Cyber-Resilienz-Engineering hervorgehoben und die Punkte zwischen dem Cyber Resiliency Engineering Framework und dem Security Chaos Engineering miteinander verknüpft werden.
Cyber-Resilienz in der Cloud — Stand der Technik
EIN aktuelle Studie von Cisco stellte fest, dass Cyber-Resilienz für 96 Prozent der Führungskräfte eine hohe Priorität hat. Ähnlich verhält es sich mit dem Weltwirtschaftsforum kürzlich formuliert das Cyber Resilience Framework und der Cyber Resilience Index, um die Einführung von Cyber-Resilienz in Unternehmen zu beschleunigen. Dies sind nur zwei von mehreren Initiativen, die sich an Unternehmen richten, die sich mit Cyber-Resilienz auseinandersetzen, um deren Einführung zu fördern. Es gibt jedoch immer noch keinen nennenswerten Trend zur Einführung, weshalb sich die Frage stellt: Warum ist die Einführung von Cyber-Resilienz gering und welche Ansätze könnten ihre Einführung beschleunigen?
Wir untersuchen die oben genannten Fragen im Rahmen der Cloud-Infrastruktur. Einige nützliche Erkenntnisse können gewonnen werden, wenn drei dominante Cloud-Indikatoren untersucht werden: Cloud-Dienste, Cloud-Architekturpläne und Cloud-Referenzimplementierungen.
Cloud-Dienste
Der erste zu berücksichtigende Indikator sind die Dienste, die von den drei wichtigsten Cloud-Dienstanbietern (CSP) angeboten werden: Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure. Während beide AWS und Azurblau bieten über 200 Dienstleistungen an, GCP bietet etwas mehr als 100 Dienstleistungen an. Keiner dieser Dienste ist jedoch darauf ausgerichtet, Cyber-Resilienz zu ermöglichen. Man könnte argumentieren, dass die Dienste, die die Datenresistenz unterstützen (z. B. AWS Backup), unter Cyber-Resilienz fallen. Das Ziel eines effizienten cyberresistenten Systems bestünde jedoch darin, die Speicherebene weit außerhalb der Reichweite von Gegnern zu halten, indem vorhergehende Resilienzschichten implementiert werden. Ein weiteres Argument, das vorgebracht werden könnte, betrifft die Existenz mehrerer Cybersicherheitsdienste, die genutzt werden könnten, um Cyberresistenz zu ermöglichen. Einverstanden, einige CSP-Sicherheitsdienste könnten für die Cyberresistenz genutzt werden, z. B. Dienste, die eine Zero-Trust-Architektur sowie Bedrohungserkennung und Reaktion auf Vorfälle ermöglichen. Aber ist das eigentlich nicht immer noch Cloud-Sicherheit? Cyber-Resilienz erfordert spezifische Gestaltungsprinzipien, Ziele und Vorgaben, auf die die CSP-Sicherheitsdienste abgestimmt werden müssen, um Resilienz zu gewährleisten. CSPs können dieser Sackgasse begegnen, indem sie Dienste speziell zur Aktivierung, Unterstützung und Verwaltung der Cyberresistenz entwickeln. Solche Dienste würden es Architekten, Ingenieuren usw. für Cyber-Resilienz ermöglichen, Cyber-Resilienz in der gesamten Cloud-Infrastruktur zu entwerfen, zu implementieren und einzusetzen.
Architektonische Pläne für die Cloud
Jeder der drei führenden CSPs bietet Well-Architected Frameworks (WAF) als architektonische Entwürfe für die Erstellung von Anwendungen und Infrastruktur. Im Allgemeinen umfassen die WAFs die folgenden Säulen: Zuverlässigkeit, Sicherheit (einschließlich Compliance und Datenschutz), Kostenoptimierung, Operational Excellence und Leistungseffizienz/-optimierung. (AWS hat eine zusätzliche Säule — Nachhaltigkeit). Keines dieser Frameworks dient als Leitfaden für Cyber-Resilienz; Sie könnten versucht sein, dies zu erwähnen Zuverlässigkeit und Sicherheit Säulen. Der Pfeiler Zuverlässigkeit dient jedoch als Richtschnur für sicherheitsrelevante Anforderungen, von denen die meisten unter die Betriebs- und Systemstabilität fallen oder sich mit diesen überschneiden. Ein Vergleich mit Cyber-Resilienz ist daher vergleichbar mit dem Vergleich von Anwendungseinheitentests mit Penetrationstests; ähnliche Ziele, aber völlig unterschiedliche Methoden, Fähigkeiten usw.
In ähnlicher Weise legt die Sicherheitssäule die Grundlagen für Cybersicherheit, was nicht mit Cyber-Resilienz gleichzusetzen ist. Wir haben gute Arbeit geleistet, um diese beiden in den Bereichen zu unterscheiden erster Teil dieser Blogserie. Fühlen Sie sich frei zu lesen hier.zwareware
Cloud-Referenzimplementierungen
Aufgrund der Komplexität der Cloud-Infrastruktur reicht es nicht aus, WAFs und andere Arten von Best Practices bereitzustellen. Cloud-Nutzer benötigen eine Art von Automatisierung, die die praktische Einführung vereinfacht. Dieser Bedarf hat den Weg für Cloud-Verkaufsautomaten als Teil des Cloud Adoption Framework (CAF) geebnet. Die Bezeichnungen unterscheiden sich je nach CSPs, doch das Ziel und die Zielsetzungen sind ähnlich. AWS bietet die Kontrollturm, das den Landezonen die Best-Practice-Implementierungen bietet. Wie der Kontrollturm bietet auch Microsoft Azure Landezonen die ein Bestandteil des CAF sind. GCP bietet auch Landezonen als Referenzimplementierung für mehrere Anwendungsfälle in Form von Infrastructure-as-Code. Wenn man sich diese CSP-Landezonen anschaut, gibt es keine Beispiele für Implementierungen, die Cyber-Resilienz ermöglichen. Dies ist nicht überraschend, da die Landezonen auf den WAFs und den verfügbaren Diensten basieren, die von den CSPs angeboten werden.
Entwicklung von Cyber-Resilienz
Die effiziente Einführung von Cyber-Resilienz für Cloud-Infrastrukturen erfordert ingenieurorientierte Ansätze. In den letzten Jahren haben ingenieurorientierte Ansätze bei der Einführung und Weiterentwicklung mehrerer Technologien als Kraftmultiplikatoren gewirkt. Diese Behauptung wird durch die Beobachtung der Entwicklung mehrerer Cloud-nativer Computerkonzepte untermauert, die sich in modernen Infrastrukturen immer mehr durchsetzen. Einige dieser Konzepte beinhalten die kontinuierliche Integration/Entwicklung/Bereitstellung, DevOpsund Microservices. Diese Konzepte finden sich in allen Organisationen, unabhängig von Größe, Branche, geografischer Lage usw., während theoretische Definitionen bestehen bleiben grundlegend und wichtig, klare Anweisungen zu technischen und praktischen Aspekten sind von entscheidender Bedeutung. Klare, technologieorientierte Ansätze ermöglichen es Anwendern, schnell loszulegen, Konzepte in die Realität umzusetzen und bis zur Serienreife zu iterieren. Bisher gab es jedoch keine ausreichenden ingenieurorientierten Initiativen zur Verbesserung der Cyberresistenz. Die Framework für die Entwicklung von Cyber-Resilienz (CREF) schien kürzlich diese Lücke zu füllen.
Framework für die Entwicklung von Cyber-Resilienz
Trotz des theoretischen Verständnisses von Cyber-Resilienz ist ihre Akzeptanz begrenzt, zumal es keine praktischen Umsetzungsrichtlinien gibt. CREF begegnet dieser Herausforderung, indem es einen umfassenden Ansatz für den Entwurf, die Entwicklung und die Wartung von cyberresistenten Systemen bietet. CREF ist eine Initiative, die vom US-amerikanischen National Institute of Standards and Technology (NIST) vorangetrieben wird. CREF unterscheidet sich von anderen Cyber-Resilienz-Initiativen, indem es präzise Konstrukte bereitstellt, die Cyber-Resilienz als einen Bereich definieren, einschließlich Zielen, Entwurfsprinzipien sowie Implementierungstechniken und -ansätzen. CREF bezieht viele seiner Konstrukte aus der Widerstandsfähigkeit von Systemen und verdeutlicht gleichzeitig den Zusammenhang zwischen Cyberresistenz und Risikomanagement. Dieser Ansatz ermöglicht ein greifbares Verständnis dieser Konstrukte aus verschiedenen Perspektiven, insbesondere aus organisatorischer, verwaltungstechnischer und technischer Sicht.
Nutzung von CREF für Cloud-Cyber-Resilienz
CREF ist typisch für ein Framework und bietet allgemeine Leitlinien, die eine kontextuelle Implementierung für spezifische Endbenutzeranforderungen ermöglichen. Dies ermöglicht zwar eine flexible Implementierung, ist aber für neuere Technologien, z. B. Cloud-Computing, eine Herausforderung. Ähnlich wie bei anderen Frameworks, die irgendwann Cloud-spezifische Versionen veröffentlichen, wäre es sehr nützlich, wenn eine Version von CREF veröffentlicht würde, die sich speziell auf Cloud-Technologien konzentriert. Zum Beispiel wäre die Abbildung der CREF-Techniken auf Cloud-Dienste (wie in der folgenden Tabelle für die adaptive Reaktion beschrieben) eine enorme Erleichterung für Praktiker der Cloud-Cyber-Resilienz. Darüber hinaus müsste die Gesamtheit der CREF-Konstrukte auf Cloud-Technologien angewendet werden. Dies würde die Cloud-Akteure in die Lage versetzen, die Cyber-Resilienz in der Cloud einfacher zu gewährleisten. Letztlich erfordern diese Herausforderungen gemeinsame Anstrengungen der Cloud-Akteure: CSPs, Aufsichtsbehörden, Drittanbieter usw.
zB.
Security Chaos Engineering — eine Disziplin, die auf Resilienz aufgebaut ist
Sicherheitschasstechnik ist ein direktes Spin-off von Chaostechnik, eine Disziplin, die vor über einem Jahrzehnt entstanden ist, weil Netflix ein hohes Maß an Systemstabilität für seine Cloud-Infrastruktur benötigt. Im Laufe der Jahre haben mehrere renommierte Unternehmen mithilfe von Chaos Engineering unerschütterliche Systeme und betriebliche Widerstandsfähigkeit betrieben. Die Cybersicherheitsbranche ist jedoch noch zu nutzen Chaos-Engineering zur Steigerung der Cyber-Resilienz, trotz der unbestreitbaren Tatsache, dass Cyber-Resilienz ist entscheidend zur Überwindung der schnell steigenden Rate erfolgreicher Cyberangriffe.
Überprüfung der Cloud-Sicherheit
Die zentrale Intuition hinter Chaos Engineering ist die gezielte und organisierte Injektion von Fehlern in ein System, um zu sehen, ob das System die mit diesen Fehlern verbundenen Bedrohungen für die Widerstandsfähigkeit bewältigen kann. Wenn die eingeführten Fehler nicht angemessen behandelt werden, führen sie wahrscheinlich zu Systemausfällen, die sich letztendlich auf mehrere gewünschte Eigenschaften auswirken, darunter Verfügbarkeit und Leistung. In ähnlicher Weise zielen die injizierten Fehler darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit zu beeinträchtigen, wenn dieser Ansatz im Zusammenhang mit der Cybersicherheit angewendet wird. Darüber hinaus können diese Sicherheitslücken so konzipiert sein, dass sie die im System implementierten Maßnahmen zur Cyberresistenz beeinträchtigen, um zu überprüfen, wie diese Implementierungen die Widerstandsfähigkeit gewährleisten. Im Wesentlichen sind diese Sicherheitsangriffe kontradiktorischer Natur und entsprechen der Art von Tests, die in CREF spezifiziert sind, um die Cyberresistenz zu überprüfen und kontinuierlich Verbesserungen vorzunehmen. CREF empfiehlt, kontradiktorische Tests durchzuführen, um die Wirksamkeit von Ansätzen, Gestaltungsprinzipien und Zielen und Vorgaben im Bereich Cyberresistenz zu überprüfen. Diese Verifizierungsprozesse können in mehreren Phasen des Lebenszyklus von cyberresistenten Systemen durchgeführt werden.
SCE ist ein Form der kontradiktorischen Prüfung das es Verteidigern ermöglicht, das Bedrohungsverhalten gegenüber Systemen einfach nachzuahmen, um die Wirksamkeit der Sicherheitskontrollen zu überprüfen. Derselbe Ansatz gilt für die Überprüfung der Wirksamkeit von Cyber-Resilienzsystemen. Cyber-Resilienz zielt darauf ab, unter ungünstigen widrigen Bedingungen Antizipation und Anpassung zu ermöglichen. Daher ist es wichtig, cyberresistente Systeme zu testen, um eine kontinuierliche Cyber-Resilienz zu ermöglichen.
Überprüfung der Cloud-Cyber-Resilienz
Die Idee, Systemeigenschaften zu testen, ist unerlässlich, da Systeme häufig unerwartete Eigenschaften aufweisen. Diese Herausforderung wird bei komplexen Systemen noch verschärft. Dieselbe Herausforderung ist für den aktuellen Stand der Cloud-Sicherheit von zentraler Bedeutung, weshalb die Cyber-Resilienz in der Cloud eingeführt werden muss. Wie Cybersicherheit ist auch Cyber-Resilienz kein Merkmal, das erworben oder „eingebaut“ werden kann. Systeme, die standardmäßig Cyber-Resilienz bieten, würden optimale Ergebnisse bei der Resilienz bieten.
Ebenso ein cyberresistenter Kultur ist unerlässlich! Dies setzt voraus, dass ein flexibler und geeigneter, cloudnativer Ansatz verwendet wird, um zu überprüfen, ob die Anforderungen an die Cyberresistenz während des gesamten Lebenszyklus eines Systems gut konzipiert und umgesetzt werden. CREF verfügt über 14 Implementierungstechniken. Die meisten Systeme müssten jedoch einige dieser Techniken auf der Grundlage mehrerer Faktoren auswählen und implementieren, vor allem auf der Grundlage des Risikoprofils der Organisation. Darüber hinaus sind für die objektive Messung und Validierung der implementierten Cyber-Resilienz-Konstrukte Metriken erforderlich. Das CREF-Dokument enthält einige Beispielkennzahlen, die genutzt werden könnten. Beispielsweise ist die Anzahl der Eindringversuche, die an einem Netzwerkperimeter gestoppt wurden, eine Beispielmetrik für die Adaptive Response-Implementierungstechnik. Diese Metrik kann nach SCE-Experimenten berechnet und als Leitfaden für nachfolgende Verbesserungen verwendet werden. Dieser Ansatz gilt auch für bestehende Cybersicherheitsaktivitäten zur Bewertung von Gegenmaßnahmen gegen Ransomware. Durch die Injektion eines Ransomware-Angriffs wird deutlich, ob die Gegenmaßnahmen wirksam sind.
Cloud-Cyber-Resilienz mit Mitigant
Mildernde Cloud-Immunität ist die erste Implementierung von SCE! Es wurde entwickelt, um eine Cloud-Infrastruktur mit einem ausgewogenen Verhältnis zwischen Cloud-Compliance, Sicherheit und Cyber-Resilienz zu ermöglichen. Mildernde Cloud-Immunität besteht aus mehreren Angriffen, mit denen die Wirksamkeit von Cyber-Resilienz-Implementierungen auf AWS überprüft werden soll. Alle Angriffe sind dem zugeordnet MITRE ATT&CK Bibliothek; dies ermöglicht die Implementierung von Angriffen aus der realen Welt für verschiedene Anwendungsfälle, darunter Übungen zur Reaktion auf Vorfälle, Bedrohungsemulation zur Überprüfung der Erkennungseffizienzund atomare Angriffe, die im Stil von Penetrationstests ausgeführt werden können, ohne die Perioden der Penetrationstests abzuwarten.
Mit Mitigant Cloud Immunity werden verschiedene Phasen dieser Aktivitäten automatisch und nahtlos abgewickelt, z. B. die Dokumentation von Hypothesen, die Bereinigung nach Angriffen und das Sammeln von Beweisen. Zögern Sie nicht, sich noch heute für Ihre kostenlose Testversion anzumelden und beginnen Sie mit dem Betrieb einer cyberresistenten Cloud-Infrastruktur. Melden Sie sich hier an - https://mitigant.io/sign-up